HOME»情報処理安全確保支援士掲示板»H29年春 午後1問1設問3(2)について
投稿する
[0706] H29年春 午後1問1設問3(2)について
SC初受験さん(No.1)
TCPコネクションを確立するところで、PCセグメント側からサーバセグメント(IPA回答ではC→A)にSYNパケットが流れるのは理解できるのですが、その折り返しであるSYN-ACKパケットがサーバ管理セグメント側(IPA回答ではA→B)に流れる理由がわかりませんでした。どなたか解説いただけないでしょうか
2021.09.01 01:47
犬。さん(No.2)
SC初受験さん、こんにちは。
図3「W氏が推測したサーバへの不正侵入手順(抜粋)」の8.には、「AさんのPC上で管理用PCのIPアドレスを詐称して、(後略)」とあります。
つまり、SYNパケットの経路は、AさんのPCの存在するPCセグメントからサーバの存在するサーバセグメント「(C)→(A)」となり、戻りのSYN-ACKパケットの経路は、サーバの存在するサーバセグメントから詐称された管理用PCのIPアドレスの存在するサーバ管理セグメント「(A)→(B)」に流れることになります。
個人的には、このFWはそれほど優秀じゃないなと感じますが(笑)
PCセグメントの存在するインターフェースからサーバ管理セグメントのIPアドレスを送信元とするSYNパケットが流れた時点で、拒否して欲しいところです(;^_^A
図3「W氏が推測したサーバへの不正侵入手順(抜粋)」の8.には、「AさんのPC上で管理用PCのIPアドレスを詐称して、(後略)」とあります。
つまり、SYNパケットの経路は、AさんのPCの存在するPCセグメントからサーバの存在するサーバセグメント「(C)→(A)」となり、戻りのSYN-ACKパケットの経路は、サーバの存在するサーバセグメントから詐称された管理用PCのIPアドレスの存在するサーバ管理セグメント「(A)→(B)」に流れることになります。
個人的には、このFWはそれほど優秀じゃないなと感じますが(笑)
PCセグメントの存在するインターフェースからサーバ管理セグメントのIPアドレスを送信元とするSYNパケットが流れた時点で、拒否して欲しいところです(;^_^A
2021.09.01 09:27
SC初受験さん(No.3)
犬さん。解説ありがとうございます
うまく説明できているか不安ですが、自分なりにまとめてみました。
このような感じでよろしいですか?
①PCセグメント側で管理用PCと同じIPアドレスに詐称してTCPコネクションを確立しようとした(SYNパケット)※C→Aの部分
②FWは「詐称してあるIPアドレスは本来は管理用PCのIPアドレスである」ことをフィルタリングルールを通じて理解しているため、SYN-ACKパケットがサーバ管理セグメント側へ流れる
※A→Bの部分
ちなみに②のフィルタリングルールは表5の項番4のルール
うまく説明できているか不安ですが、自分なりにまとめてみました。
このような感じでよろしいですか?
①PCセグメント側で管理用PCと同じIPアドレスに詐称してTCPコネクションを確立しようとした(SYNパケット)※C→Aの部分
②FWは「詐称してあるIPアドレスは本来は管理用PCのIPアドレスである」ことをフィルタリングルールを通じて理解しているため、SYN-ACKパケットがサーバ管理セグメント側へ流れる
※A→Bの部分
ちなみに②のフィルタリングルールは表5の項番4のルール
2021.09.02 01:14
犬。さん(No.4)
SC初受験さん、ご返信ありがとうございます。
凡そその理解で大丈夫だと思います。
強いて言うと、サーバからの戻りの通信に関して、「宛先IPアドレス」が
詐称している管理用PCのIPアドレスになります。
受け取ったFWは、フィルタリングルールを通じて…ではなく、ルーティング
テーブルを元にパケットをサーバ管理セグメント側に流す…が正しいかなと
思っています。
セキュリティの問題というよりは、ネットワークの問題だと考えています。
凡そその理解で大丈夫だと思います。
>②FWは「詐称してあるIPアドレスは本来は管理用PCのIPアドレスである」ことを
>フィルタリングルールを通じて理解しているため、SYN-ACKパケットがサーバ管理
>セグメント側へ流れる
強いて言うと、サーバからの戻りの通信に関して、「宛先IPアドレス」が
詐称している管理用PCのIPアドレスになります。
受け取ったFWは、フィルタリングルールを通じて…ではなく、ルーティング
テーブルを元にパケットをサーバ管理セグメント側に流す…が正しいかなと
思っています。
セキュリティの問題というよりは、ネットワークの問題だと考えています。
2021.09.02 09:31